# Claude Code로 만든 '보안 정책 준수' 자동화 스킬 - IT 관리자의 정책 자동화 도전기
지피타쿠님의 skillers-suda로 만들었어요.
셋팅된 전문가들이 협력해서 도와줘요.
이 스킬을 아직 써보진 못했습니다. 써보고 또 후기 쓸께요.
## 📝 한줄 요약
직원들에게 AI 유료 결재를 지원해 주면서 무작정 사용하는 것을 보니,
회사의 보안 정책과 개발 표준이 중요하다고 생각했어요.
AI가 자동으로 체크하는 스킬을 1일 만에 만들었고, 복잡한 정책을 구조화하는 과정에서 "여러 관점의 검토"가 얼마나 중요한지 배웠습니다.
**바쁘시면 이것만 읽어도 돼요:**
- 사용한 도구: Claude Code (skillers-suda 스킬 활용)
- 문제: 개발자들이 회사 보안 정책을 제대로 준수하는지 확인이 어려웠음
- 해결책: 개발언어·코딩 표준·DB 접근·보안 정책을 자동 체크하는 스킬 개발
- 핵심 팁: **보안처럼 중요한 정책은 AI 결과를 여러 번 검토하고 다시 피드백하는 게 필수**
- 특별한 순간: 복잡한 요구사항을 AI가 명확한 구조(4명의 전문가 관점)로 정리해줬을 때
- 배운 교훈: 단순히 "만들어줘"가 아니라 "검토→피드백→수정" 반복이 정책 준수만큼 중요
- 다음 단계: 팀에 배포하여 자동 정책 준수 운영 시작
## 🎯 이런 분들께 도움돼요
- IT 관리자나 보안 담당자로서 팀의 정책 준수를 자동화하고 싶으신 분
- 개발팀의 코드 품질과 보안 표준을 일관되게 유지하고 싶으신 분
- 신입이나 외부 개발자들이 정책을 자꾸 놓쳐서 고민하시는 분
---
## 😫 문제 상황 (Before)
회사의 보안 정책과 개발 표준이 있지만, **개발자들이 준수하는지 확인**이 너무 어려웠습니다.
보안팀에서 정한 규칙들:
- 데이터베이스 접속 정보는 절대 코드에 하드코딩하면 안 됨
- 프론트엔드는 JavaScript/TypeScript만, 백엔드는 Java/Python만 사용
- 변수명, 들여쓰기, 주석 스타일까지 일관되게 작성
- 사용 가능한 데이터베이스도 정해져 있음 (MSSQL, PostgreSQL, SQLite, H2, 스프레드시트만)
하지만 매번 코드 리뷰할 때마다:
- "어, 이거 환경변수로 안 했네?"
- "또 회사 표준이 아닌 방식으로 썼다"
- "사용 불가 DB를 쓰려고 했네?"
이런 식으로 **정책 위반을 일일이 찾아야 했고**, 리뷰 시간이 길어지고, 같은 지적을 반복하는 비효율이 계속됐습니다.
특히 신입이나 외부 개발자들은 "어떤 정책이 있는지도 모르고" 개발하다가 나중에 "리뷰할 때 지적당하는" 악순환이 반복됐습니다.
**"이걸 어떻게 자동화할 수 없을까?"** 라는 생각에서 시작했습니다.
---
## 🛠️ 사용한 도구
- **도구명**: Claude Code (Claude 3.5 Sonnet 모델)
- **특이사항**: skillers-suda라는 '스킬 빌더 스킬'을 활용하여 처음부터 끝까지 AI 협력으로 진행
---
## 🔧 작업 과정
### 1단계: "뭘 만들어야 할까?" — 요구사항 정의
처음엔 **무엇을 정확히 요청해야 할지 몰랐습니다**.
보안 정책은 복잡했고, "정책 준수 자동화"가 구체적으로 뭘 의미하는지, 어떻게 동작해야 하는지 명확하지 않았습니다.
그래서 Claude에게 "이 정책 아이디어를 다양한 관점에서 분석해달라"고 요청했습니다:
```
너는 바이브코더(비개발자) 사용자야. 아래 스킬 아이디어를 실제 사용자 관점에서 분석해줘.
아이디어: 회사에서 지원들에게 개발언어를 특정해서 개발하게 하고, 회사가 정한 보안관련 규칙을 준수하면서
Claude를 이용해서 개발하도록 스킬을 만들고 싶어.
분석 항목 (한국어로, 각 항목 2-3줄):
1. 사용 시나리오
2. 입력 방식
3. 출력 기대
4. 사용성
5. 실망 포인트
```
Claude가 **4명의 다른 관점**(비개발자 사용자, 기획자, 개발자, QA)에서 분석해줬을 때, **"아, 이런 문제들이 있을 수 있겠네"** 하는 생각이 들었습니다.
### 2단계: "보안은 빠진 부분이 없나?" — 보안 검토
이 단계가 가장 중요했습니다.
단순히 "개발언어 제한하고, 코딩 스타일 맞춰"라는 요청만으로는 **보안 정책을 제대로 반영할 수 없다**는 걸 깨달았습니다.
그래서 Claude에게:
```
보안 담당자의 시각에서 부족하거나 추가할 부분이 있는지 확인하고 수정해
```
이렇게 물어봤더니, Claude가 자동으로:
- "데이터베이스 종류도 제한해야 하나?"
- "환경변수 사용을 강제할 수 있나?"
- "테스트 커버리지도 확인해야 하나?"
이런 식으로 **"보안팀이 놓칠 수 있는 부분"까지 찾아주고**, "이건 어떻게 생각하세요?"라고 다시 물어봤습니다.
### 3단계: "복잡한 요구사항을 어떻게 구조화할까?" — 점진적 요청과 수정
가장 인상적이었던 부분입니다.
처음엔 "개발언어 제한" → 그 다음 "코딩 스타일" → 그 다음 "DB 제한" 이런 식으로 **하나씩 추가 요청**했는데,
Claude가 **이전 요청들을 모두 기억하면서 누적해서 반영**했습니다.
그리고 매 단계마다:
- "이 정책과 이전 정책이 서로 충돌하지는 않나?"
- "개발자가 이 정책을 다 지키려면 구체적으로 뭘 해야 하나?"
이런 식으로 **자동으로 검토하고 지적**해줬습니다.
### 4단계: "개발자가 정말 쓸 수 있을까?" — 사용성 검토
요구사항이 다 정리되니까, 이번엔 "개발자 입장"에서 다시 물어봤습니다:
```
개발자 입장에서 이 스킬에 기능중에 불편에 비해 이득은 별로 없는 기능이 있나 확인해줘
```
그러면서 **불필요하게 복잡한 규칙들은 빼고**, **정말 필요한 것들만 남겼습니다**.
### 5단계: "실제로 스킬을 만들어보자" — 구현
모든 요구사항과 검토가 끝나니까, Claude가 **실제 스킬 코드를 생성**했습니다.
---
## ✅ 결과 (After)
### Before vs After
| 항목 | Before | After |
|------|--------|-------|
| 정책 준수 확인 방법 | 코드 리뷰 때마다 수동 확인 | 개발 중에 자동 체크 |
| 같은 지적 반복 | 매번 "환경변수로 해야 해" "DB가 이거 안 돼" | 스킬이 사전에 방지 |
| 신입/외부 개발자 | 정책을 모르고 개발 → 리뷰 후 수정 | 처음부터 정책 준수 상태로 개발 |
| 리뷰 시간 | 정책 위반 항목들 일일이 검토 | 정책 검증 부분 생략, 비즈니스 로직만 집중 |
| 실제 상황 | 팀에 아직 배포 단계 | 배포 준비 완료, 곧 운영 시작 예정 |
### 결과물
company-policy-compliance 스킬이 생성되어, 개발자들이 Claude Code로 개발할 때 **자동으로** 다음을 체크하게 됩니다:
1. **개발언어**: Frontend/Backend별로 정해진 언어만 사용
2. **보안 정책**: 데이터베이스 접속 정보를 환경변수로 관리하도록 강제
3. **코딩 표준**: 변수명, 들여쓰기, 주석 스타일 일관성
4. **데이터베이스**: 허용된 DB(MSSQL, PostgreSQL, SQLite, H2, 스프레드시트)만 사용 가능
5. **작업 완료 후 요약**: 개발이 끝나면 자동으로 "뭘 만들었는지", "보안 준수 현황", "테스트 결과"를 정리
---
## 💬 이 과정에서 배운 AI 활용 팁
### 효과적이었던 것
1. **다양한 관점에서의 검토**
- "비개발자 입장", "기획자 입장", "개발자 입장", "QA 입장"처럼 역할을 정해서 분석하게 했더니
- 자신이 못 본 빈틈들을 AI가 자동으로 찾아줬습니다
- 특히 보안처럼 "실수하면 큰일"인 부분은 더욱 효과적
2. **"맞나?" 형태의 검토 요청**
- "완성됐으니 이제 된 거"가 아니라
- "이 정책과 저 정책이 충돌하지는 않나?", "보안 담당자 입장에서 빠진 게 없나?"
- 이런 식으로 **한 번 더 물어보는 게** 정책 준수 같은 중요한 부분에선 필수적
3. **점진적 요청과 누적 검토**
- "한 번에 다 만들어줘"가 아니라
- "먼저 개발언어 제한", "그 다음 코딩 스타일"
- 이런 식으로 **하나씩 추가하면서 매 단계마다 검토**하니
- 복잡한 요구사항이 명확하게 구조화됐습니다
4. **"사용성 검토" 단계 추가**
- 정책이 다 정해져도, "개발자가 정말 이거 쓸 수 있을까?"라고 한 번 더 물어봤을 때
- 불필요하게 복잡한 규칙들을 걸러낼 수 있었습니다
### 이렇게 하면 안 돼요
1. **정책 같은 중요한 부분은 "한 번의 생성"으로 끝내기**
- AI가 좋은 결과를 줘도, 보안처럼 **빠진 부분이 있을 수 있다**는 전제로 시작하세요
- 특히 "실수했을 때 회사에 손해를 끼치는 규칙"은 반드시 여러 번 검토하세요
2. **개발자/사용자 입장을 무시하기**
- "정책적으로 필요하니까"만으로 만들면, 정작 쓸 때 너무 복잡해서
- 개발자들이 "이 규칙 왜 있어?"라고 불평할 수 있습니다
- 정책과 사용성의 **균형**이 중요합니다
3. **AI 제안을 전부 다 따르기**
- Claude가 "DB도 제한하는 게 어때요?"라고 제안할 때
- 무조건 따르기보다는 "우리 회사에 정말 필요한가?"라고 판단하고 선택하세요
---
## 🌍 다른 업무에 적용한다면?
이 경험을 다른 정책/프로세스 자동화에도 적용할 수 있습니다:
- **코드 리뷰 기준 자동화**: "우리 팀의 코드 리뷰 체크리스트"를 AI 스킬로 만들어서, 매번 "이거 빠졌나?" 확인
- **데이터 입력 규칙**: "엑셀/시스템 데이터 입력 시 지켜야 할 규칙"을 자동 검증
- **문서 작성 기준**: "회사 보고서/제안서는 이렇게 작성해야 한다"는 템플릿을 스킬화
- **QA 체크리스트**: "이 제품이 출시되려면 이 항목들을 다 확인해야 한다"는 걸 자동화
핵심은: **"반복되는 검토"를 AI가 미리 해줄 수 있다는 것**입니다.
---
## 🚀 앞으로의 계획
1. **팀 배포 및 운영** (다음 단계)
- 스킬 설정을 마무리하고, 팀원들에게 "이 스킬을 쓰면서 개발해줘"라고 안내
- 첫 2주간은 "정책 준수율"이 어떻게 되는지 모니터링
2. **피드백 수집 및 개선**
- 개발자들이 실제로 쓰면서 "이 규칙이 불편해", "이 부분 추가해줘" 하는 요청들을 모아서
- 스킬을 지속적으로 개선
3. **다른 정책까지 확대**
- 보안 정책이 안정화되면, "성능 최적화 규칙", "UI/UX 컨벤션"처럼 다른 정책도 스킬화 검토
---
## 📋 재사용 가능한 프롬프트
### 프롬프트 1: 복잡한 정책을 다각도로 분석하기
> 너는 [역할]이야. 아래 [주제]를 [역할] 관점에서 분석해줘.
>
> [정책/아이디어 설명]
>
> 분석 항목 (각 항목 2-3줄):
> 1. [항목 1]: [설명]
> 2. [항목 2]: [설명]
> ... (필요한 만큼)
>
> 출력 형식: 각 항목을 번호와 함께 작성. 마지막에 "[역할] 한줄 요약: {요약}" 추가.
**사용 예시**: 역할을 "비개발자 사용자", "기획자", "개발자", "QA"로 바꾸면서 같은 정책을 4번 분석
---
### 프롬프트 2: 중요한 정책의 빠진 부분 찾기
> [정책/스킬 설명]
>
> 보안/품질 담당자의 시각에서 위 정책에 부족하거나 추가할 부분이 있는지 확인하고 수정해.
>
> 다음 체크리스트로 검토해줘:
> 1. 보안 관점에서 빠진 부분 있나?
> 2. 실행 가능성은 충분한가?
> 3. 개발자가 따르기 너무 복잡하지는 않나?
> 4. 정책 간 충돌이나 모순은 없나?
**사용 팁**: 정책이 복잡할수록, "한 번 만들고 끝"이 아니라 이 프롬프트로 **2-3번 검토**하세요
---
### 프롬프트 3: 사용성 검토하기
> [만들어진 정책/스킬]
>
> [대상 사용자] 입장에서 이 [정책/스킬]에서 불편하거나 불필요한 부분이 있나 확인해줘.
>
> 특히 다음을 봐줘:
> 1. 이 정책을 따르려면 [사용자]가 구체적으로 뭘 해야 하나?
> 2. 지나치게 복잡한 부분은 없나?
> 3. 정책의 의도를 이해 못 하면 따를 수 있나?
**사용 팁**: 개발자, 사용자, 관리자 등 **각 대상별로 따로 검토**하면 더 실용적인 정책이 됩니다
직원들에게 써보라고 하기 전에 제가 먼저 써보고 수정을 하려고 해요.
써보고 아닌것 같으면 뭐가 문제인지도 댓글 남길께요.
(사례글 자동화 사랑합니다. )
행복한공유
🐶 AI 찐친
지피타쿠님의 skillers-suda로 만든 '보안 정책 준수' 자동화 스킬
1
1개의 답글
